Seguridad WiFi: WPA2, WPA3 y Ataques
Estándares de seguridad inalámbrica, ataques PMKID, KRACK, Evil Twin y configuración segura
Evolución de la Seguridad WiFi
WEP (1997)
❌ ROTOCifrado
RC4 con IV de 24 bits
Problema
El IV de 24 bits se reutiliza frecuentemente. Con ~40.000 paquetes se puede recuperar la clave en minutos. Herramienta: aircrack-ng.
Uso recomendado
Obsoleto. Nunca usar.
WPA (2003) — TKIP
⚠️ DÉBILCifrado
TKIP (RC4 con mejoras)
Problema
Parcheó WEP sobre el mismo hardware (RC4). TKIP tiene vulnerabilidades conocidas. Considera comprometido.
Uso recomendado
Solo para hardware muy antiguo incompatible. Reemplazar.
WPA2 (2004) — CCMP/AES
✅ Aceptable con configuración correctaCifrado
AES-CCMP (128-bit)
Problema
WPA2-PSK vulnerable a ataques de diccionario offline (capturar 4-way handshake + hashcat). KRACK (2017) afecta al protocolo. PMKID attack (2018) más eficiente.
Uso recomendado
Usar WPA2-Enterprise (802.1X) en entornos corporativos. Contraseña PSK larga y aleatoria (+20 chars).
WPA3 (2018)
✅ RecomendadoCifrado
GCMP-256 / SAE (Dragonfly)
Problema
Dragonfly vulnerable a side-channel attacks (DragonBlood, 2019) — parcheado. WPA3-Transition mode puede degradar a WPA2.
Uso recomendado
Usar WPA3-SAE para redes nuevas. WPA3-Enterprise en corporativo (GCMP-256).
Ataques WiFi Principales
PMKID Attack (2018)
No requiere que ningún cliente esté conectado. El atacante solicita el PMKID del AP directamente y usa ese hash para ataques offline de diccionario.
# Capturar PMKID
hcxdumptool -i wlan0mon -o pmkid.pcapng --enable_status 2
hcxpcapngtool pmkid.pcapng -o hash.22000
hashcat -m 22000 hash.22000 wordlist.txt
Defensa: contraseña PSK larga y aleatoria (+20 chars); WPA3-SAE (immune a PMKID).
KRACK — Key Reinstallation Attack (2017)
Manipula el 4-way handshake de WPA2 para reinstalar la clave de cifrado, reseteando nonces y replay counters. Permite descifrar y en algunos casos inyectar tráfico.
Defensa: aplicar parches del OS (todos los sistemas principales fueron parcheados en 2017-2018); usar HTTPS sobre WiFi.
Evil Twin / Rogue AP
El atacante crea un punto de acceso con el mismo SSID (y más potencia de señal). Los clientes se conectan automáticamente. El atacante realiza MitM total.
# Herramientas: hostapd-wpe, airbase-ng, Pineapple WiFi
airbase-ng -e "Empresa_Corp" -c 6 wlan0mon
Defensa: WPA2/3-Enterprise con validación de certificado del servidor (RADIUS); no conectarse a redes WiFi abiertas; VPN siempre en redes no confiables.
Deauthentication Attack
IEEE 802.11 permite enviar frames de deautenticación sin autenticar. El atacante desconecta clientes continuamente (DoS) o los fuerza a reconectarse a un Evil Twin. 802.11w (PMF) lo corrige.
Defensa: habilitar Protected Management Frames (PMF / 802.11w), obligatorio en WPA3.
WPA2/3-Enterprise con 802.1X
En entornos corporativos, nunca usar PSK compartida. 802.1X + RADIUS autentica a cada usuario con sus credenciales (o certificado), generando una PMK única por sesión.
# Flujo WPA2-Enterprise
1. Cliente asocia con AP (sin clave compartida)
2. AP reenvía autenticación al servidor RADIUS (FreeRADIUS, NPS)
3. RADIUS verifica credenciales (EAP-TLS / PEAP-MSCHAPv2 / EAP-TTLS)
4. RADIUS devuelve clave de sesión única al AP
5. AP y cliente derivan clave de cifrado única por sesión ✅
Configuración Segura WiFi
Usar WPA3-SAE o WPA2-Enterprise (802.1X) — nunca WEP ni WPA1.
Separar red corporativa, invitados e IoT en VLANs distintas con SSIDs diferentes.
Habilitar PMF (Protected Management Frames / 802.11w) para proteger contra deauth attacks.
Para WPA2-PSK residencial: contraseña mínima 20 caracteres aleatoria.
Deshabilitar WPS (Wi-Fi Protected Setup) — vulnerable a ataques de fuerza bruta al PIN.
Realizar wireless survey trimestral para detectar Rogue APs en la infraestructura.
Usar VPN sobre cualquier red WiFi no controlada.
Continúa Aprendiendo
Explora la gestión de riesgos y controles en entornos empresariales
Gestión de Riesgos Empresarial →